Обнаружен вредоносный PowerShell-скрипт, написанный ИИ - «Новости» » Интернет технологии
sitename
Razer выпустила коллекцию геймерских аксессуаров по мотивам Zenless Zone Zero - «Новости сети»
Razer выпустила коллекцию геймерских аксессуаров по мотивам Zenless Zone Zero - «Новости сети»
 Инженеры Meta✴ создали лазерный дисплей толщиной 2 мм и обещают революцию в смарт-очках - «Новости сети»
Инженеры Meta✴ создали лазерный дисплей толщиной 2 мм и обещают революцию в смарт-очках - «Новости сети»
 Видео: робот Atlas от Boston Dynamics продолжает работать, пока его толкают, мешают и отбирают вещи - «Новости сети»
Видео: робот Atlas от Boston Dynamics продолжает работать, пока его толкают, мешают и отбирают вещи - «Новости сети»
 США взялись за спасение Intel: компания стала частично государственной - «Новости сети»
США взялись за спасение Intel: компания стала частично государственной - «Новости сети»
 Dark Souls, BioShock и Dishonored в одном флаконе: журналисты показали 33 минуты геймплея ролевого боевика Valor Mortis от создателей Ghostrunner - «Новости сети»
Dark Souls, BioShock и Dishonored в одном флаконе: журналисты показали 33 минуты геймплея ролевого боевика Valor Mortis от создателей Ghostrunner - «Новости сети»
 Новые возможности автоматического определителя номера для бизнеса от Яндекса — «Блог для вебмастеров»
Новые возможности автоматического определителя номера для бизнеса от Яндекса — «Блог для вебмастеров»
 Смартфон realme 15 Pro с Snapdragon 7 Gen 4 и батареей на 7000 мА·ч поступил в глобальную продажу - «Новости сети»
Смартфон realme 15 Pro с Snapdragon 7 Gen 4 и батареей на 7000 мА·ч поступил в глобальную продажу - «Новости сети»
 «Китайцы показывают, как надо делать игры»: геймеров впечатлил трейлер фэнтезийного боевика Swords of Legends в духе Black Myth: Wukong - «Новости сети»
«Китайцы показывают, как надо делать игры»: геймеров впечатлил трейлер фэнтезийного боевика Swords of Legends в духе Black Myth: Wukong - «Новости сети»
 Последнее обновление Windows 11 24H2 ломает SSD и HDD, но не везде - «Новости сети»
Последнее обновление Windows 11 24H2 ломает SSD и HDD, но не везде - «Новости сети»
 GeForce RTX 5080 теперь доступна за $20 в месяц — облачный игровой сервис Nvidia GeForce Now обновил инфраструктуру - «Новости сети»
GeForce RTX 5080 теперь доступна за $20 в месяц — облачный игровой сервис Nvidia GeForce Now обновил инфраструктуру - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Преимущества стилей » Обнаружен вредоносный PowerShell-скрипт, написанный ИИ - «Новости»

✔Обнаружен вредоносный PowerShell-скрипт, написанный ИИ - «Новости»

12 апреля 2024 484 Преимущества стилей / Заработок / Новости / Самоучитель CSS / Добавления стилей 0

Аналитики Proofpoint считают, что злоумышленники используют для распространения инфостилера Rhadamanthys PowerShell-скрипт, созданный при помощи ИИ (например, ChatGPT компании OpenAI, Gemini компании Google или CoPilot компании Microsoft).


Изученный специалистами скрипт использовался в марте текущего года, в рамках фишинговой кампании, нацеленной на десятки организаций в Германии. По данным исследователей, в этой почтовой кампании хакеры выдавали себя за представителей Metro cash-and-carry, используя инвойсы в качестве приманки.



Вредоносное письмо

Судя по всему, обнаруженная активность связана с хакерской группой TA547 (она же Scully Spider), которая к тому же выступает брокером первоначальных доступов.


Scully Spider активны как минимум с 2017 года, и за эти годы они распространяли самую разную малварь для Windows (ZLoader/Terdot, Gootkit, Ursnif, Corebot, Panda Banker и Atmos), а также для Android (Mazar Bot и Red Alert).


Но в последнее время группа переключилась на модульный инфостилер Rhadamanthys, который постоянно расширяет свои возможности по сбору и краже данных (из буфера обмена, браузера, cookie). Этот стилер распространяется среди киберпреступных групп с сентября 2022 года по модели malware-as-a-service (MaaS, «Малварь-как-услуга»).


По данным Proofpoint, письма злоумышленников содержали ZIP-архив, защищенный паролем MAR26, в котором находился вредоносный файл .LNK. Обращение к файлу ярлыка запускало PowerShell для выполнения удаленного скрипта.


Анализируя PowerShell-скрипт, загружающий Rhadamanthys, исследователи заметили, что тот содержит множество символов «#», за которыми следуют отдельные комментарии для каждого компонента, что нечасто встречается в коде, написанном человеком. Эксперты пишут, что такое скорее характерно для кода, созданного генеративным ИИ, например, ChatGPT, Gemini или CoPilot.





Хотя специалисты не уверены до конца, что PowerShell-скрипт написан при помощи LLM, его содержимое наводит на мысль о том, что теперь TA547 использует генеративный ИИ для написания или переработки своих инструментов. К тому же сами исследователи попробовали создать аналогичный скрипт с помощью LLM и пришли к выводу, что скрипт TA547 тоже мог быть сгенерирован ИИ.


Например, по словам исследователей, разработчики обычно прекрасно пишут код, но их комментарии зачастую малопонятны и содержат грамматические ошибки.


«PowerShell-скрипт, предположительно созданный LLM, тщательно закомментирован с безупречной грамматикой. Почти каждая строка кода сопровождается соответствующим комментарием», — отмечают в Proofpoint.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Аналитики Proofpoint считают, что злоумышленники используют для распространения инфостилера Rhadamanthys PowerShell-скрипт, созданный при помощи ИИ (например, ChatGPT компании OpenAI, Gemini компании Google или CoPilot компании Microsoft). Изученный специалистами скрипт использовался в марте текущего года, в рамках фишинговой кампании, нацеленной на десятки организаций в Германии. По данным исследователей, в этой почтовой кампании хакеры выдавали себя за представителей Metro cash-and-carry, используя инвойсы в качестве приманки. Вредоносное письмо Судя по всему, обнаруженная активность связана с хакерской группой TA547 (она же Scully Spider), которая к тому же выступает брокером первоначальных доступов. Scully Spider активны как минимум с 2017 года, и за эти годы они распространяли самую разную малварь для Windows (ZLoader/Terdot, Gootkit, Ursnif, Corebot, Panda Banker и Atmos), а также для Android (Mazar Bot и Red Alert). Но в последнее время группа переключилась на модульный инфостилер Rhadamanthys, который постоянно расширяет свои возможности по сбору и краже данных (из буфера обмена, браузера, cookie). Этот стилер распространяется среди киберпреступных групп с сентября 2022 года по модели malware-as-a-service (MaaS, «Малварь-как-услуга»). По данным Proofpoint, письма злоумышленников содержали ZIP-архив, защищенный паролем MAR26, в котором находился вредоносный файл .LNK. Обращение к файлу ярлыка запускало PowerShell для выполнения удаленного скрипта. Анализируя PowerShell-скрипт, загружающий Rhadamanthys, исследователи заметили, что тот содержит множество символов «
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: